PENTRU VIAŢA PRIVATĂ. Georgeta ... caracteristicilor de comportare, în scopul
realizării unui profil .... comportamentale on-line au condus la apariţia unor ...
Analele Universităţii “Constantin Brâncuşi” din Târgu Jiu, Seria Ştiinţe Juridice, Nr. 4/2010
CREAREA DE PROFILURI ALE
CREATING NATURAL PERSONS’
PERSOANELOR FIZICE - UN RISC
PROFILES – A RISK FOR PRIVATE
PENTRU VIAŢA PRIVATĂ
LIFE
Georgeta BASARABESCU – Preşedinte al Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal Alina SĂVOIU – şef Birou ANSPDCP
Georgeta BASARABESCU – President of the National Supervisory Authority for Personal Data Processing Alina SĂVOIU – head of Dept. NSAPDP
Abstract: Publicitatea comportamentală online reprezintă publicitatea efectuată în urma analizării şi observării comportamentului utilizatorilor de internet în timp, pe baza studierii caracteristicilor de comportare, în scopul realizării unui profil specific fiecărui utilizator şi furnizării către acesta a unor materiale publicitare personalizate. Datorită extinderii pe scară largă a publicităţii comportamentale on-line, bazată pe folosirea modulelor cookie de urmărire şi a altor dispozitive de urmărire, au apărut anumite probleme de asigurare a protecţiei vieţii private a utilizatorilor de internet. În cele ce urmează ne vom ocupa de analizarea aplicabilităţii principiilor de protecţie a datelor cu caracter personal asupra prelucrărilor implicate de publicitatea comportamentală on-line.
Abstract: The behavioural advertising represents the publicity carried out following the assessment and the observation, in time, of the Internet users’ behaviour, based on the studies made on the behavioural characterises, in order to attain a specific profile of each user and to supply him/her with certain personalised advertising materials. Due to the extension on a large scale of the on-line behavioural advertising, based on the usage of tracking cookies and other tracking dispositive, certain issues concerning referring to the protection of private life of Internet users appear. Following, we will analyse the applicability of the personal data protection principles on the data processing involved in the on-line behavioural advertising.
Cuvinte cheie: profil, publicitate comportamentală online, consimţământ, drept de informare, date cu caracter personal
La nivelul Uniunii Europene, s-a recunoscut cât de important este pentru siguranţa cetăţenilor să se găsească soluţii referitoare la protejarea vieţii private a fiecărei persoane, inclusiv a utilizatorilor de internet, în considerarea noilor evoluţii tehnologice. Astfel, au fost adoptate două reglementări cu un impact deosebit : Directiva 2002/58/EC privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi Directiva 95/46/CE a Parlamentului European şi a Consiliului privind protecţia persoanelor fizice în ceea ce priveşte
Key words: Profiling, on-line behavioural advertising, consent, right to information, personal data
The importance of finding solutions in order to protect each individual’s private life with regard to citizens’ safety, including on the internet and in consideration of the new technological developments, has been acknowledged at the level of the European Union. Thus, two regulations of great impact have been adopted: Directive 2002/58/EC on the processing of personal data and the protection of private life in the electronic communications’ sector and Directive 95/46/EC of the European Parliament and Council on the protection of individuals with regard to the processing of personal data and the free movement of such data.
Annals of the „Constantin Brâncuşi” University of Târgu Jiu, Juridical Sciences Series, Issue 4/2010
89
Analele Universităţii “Constantin Brâncuşi” din Târgu Jiu, Seria Ştiinţe Juridice, Nr. 4/2010
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. Directiva 2002/58/CE constituie actul normativ special destinat să asigure confidenţialitatea comunicaţiilor electronice, ale cărei prevederi sunt completate şi modificate prin Directiva 2009/136 a Parlamentului European şi a Consiliului. Prin art. 5 alin. (3) al Directivei 2002/58/EC se stabileşte că: „Statele membre se asigură că folosirea retelelor de comunicatii electronice pentru a stoca sau a accesa informatii stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu conditia ca abonatul sau utilizatorul în cauză să fi primit informatii clare si complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopul prelucrării de către operatorii de date. Aceasta nu interzice stocarea sau accesul tehnic cu unicul scop de a efectua sau de a facilita transmisia comunicatiei printr-o retea de comunicatii electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării unui serviciu al societătii informationale cerut în mod explicit de către abonat sau utilizator.” Această prevedere impune obţinerea consimţământului în vederea stocării de informaţii sau a accesării informaţiilor stocate în echipamentul unui utilizator de internet. În consecinţă, furnizorii de reţele de publicitate on-line sunt obligaţi să respecte aceste dispoziţii legale, conform cărora introducerea de module cookie sau alte dispozitive similare în echipamentul terminal al utilizatorilor, precum şi obţinerea de informaţii prin aceste dispozitive se poate realiza numai pe baza acordului informat al utilizatorilor respectivi. Respectarea prevederilor art. 5 alin. (3) din Directiva 2002/58/EC rezidă în necesitatea protejării unei zone ce aparţine sferei private a persoanei. Sub acest aspect, trebuie reliefate menţiunile din considerentul 24 al Directivei, potrivit cărora „echipamentul terminal al utilizatorului şi orice informaţie stocată în aceasta fac parte din sfera privată a
Directive 2002/58/CE represents the special regulation destined to ensure the confidentiality of electronic communications, whose provisions are amended and modified by Directive 2009/136 of the European Parliament and Council. The provisions of article 5 paragraph. (3) of Directive 2002/58/EC establish that: „ Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.” This provision imposes the obligation to obtain the consent in order to store or access information stored on the equipment used by an internet user. Therefore the providers of on-line advertising networks are bound to observe these legal provisions, according to which the introduction of cookie modules or of other similar devices within the end user’s equipment, as well as obtaining information through such devices may only be carried out on the basis of the informed consent of the respective users. Observance of the provisions of article 5 paragraph (3) of Directive 2002/58/EC resides in the need to protect an area which belongs to the individual’s private sphere. In this context, the provisions of preamble 24 of the Directive must be highlighted, according to which “terminal equipment of users of electronic communications networks and any information stored on such equipment are
Annals of the „Constantin Brâncuşi” University of Târgu Jiu, Juridical Sciences Series, Issue 4/2010
90
Analele Universităţii “Constantin Brâncuşi” din Târgu Jiu, Seria Ştiinţe Juridice, Nr. 4/2010
utilizatorului, protejată conform Convenţiei Europene a Drepturilor Omului şi a Libertăţilor Fundamentale”. Unul din domeniile în care s-a constatat o tendinţă accentuată de creare de profiluri ale utilizatorilor este cel al publicităţii on-line, deoarece acesta constituie o sursă importantă de venituri pentru o multitudine de servicii on-line şi un element de propulsie al dezvoltării economiei internetului. Publicitatea comportamentală online reprezintă publicitatea efectuată în urma analizării şi observării comportamentului utilizatorilor de internet în timp, pe baza studierii caracteristicilor de comportare (respectiv vizitarea repetată a anumitor siteuri, cuvintele cheie, producţia de conţinuturi on-line), în scopul realizării unui profil specific fiecărui utilizator şi furnizării către acesta a unor materiale publicitare personalizate intereselor sale. Publicitatea comportamentală on-line poate oferi agenţiilor de publicitate ce doresc să promoveze un serviciu informaţii detaliate ale activităţii on-line a fiecărui utilizator, inclusiv site-urile şi paginile vizualizate, articolele sau subiectele accesate, durata şi ordinea vizualizării acestora. Dar, aspectele practice ale publicităţii comportamentale on-line au condus la apariţia unor probleme importante privind asigurarea protecţiei datelor personale şi, în esenţă, a vieţii private a utilizatorilor de internet. Astfel, în special în ultimii ani, datorită extinderii pe scară largă a publicităţii comportamentale on-line bazată pe folosirea modulelor cookie de urmărire şi a altor dispozitive de urmărire, discutăm de o adevărată intruziune în viaţa privată a utilizatorilor de internet. În considerarea faptului că publicitatea comportamentală on-line implică prelucrări de date personale şi a potenţialei ingerinţe în viaţa privată a utilizatorilor, devin aplicabile dispoziţiile Directivei 95/46/EC – ca reglementare cadru, ce impune respectarea principiilor şi regulilor
part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms”. One of the field where a constant trend of creating profiles has been noticed was that of on-line advertising, as this constitutes an important source of income for a wide range of on-line services and an incentive element of the internet’s development. On-line behavioural advertising consists of the advertisements made after analysis and observation over time of the behaviour of internet users, based on studying of the behavioural characteristics (namely repeated visits to certain web sites, key words, production of on-line content), with the purpose of creating a specific profile for each user and providing advertisements to that user which are personalised to his interests. On-line behavioural advertising may provide detailed information on the online activity of each user to advertising agencies that wish to promote a service, including viewed web sites and pages, articles or subjects accessed, the duration and order of viewing that information. However, the practical aspects of online behavioural advertising have led to the apparition of certain important problems with regard to ensuring the protection of personal data and, essentially, of the private life of internet users. Therefore, especially in the last years, due to expansion of the use of on-line behavioural advertising based on cookie modules and other tracking devices, we are debating over a real intrusion into the private life of internet users. In consideration of the fact that online behavioural advertising involves the processing of personal data and potential interferences into the users’ private life, the provisions of Directive 95/46/EC– a framework regulation which imposes the observance of the specific principles and rules, of the persons’ rights, of the confidentiality and the security of the
Annals of the „Constantin Brâncuşi” University of Târgu Jiu, Juridical Sciences Series, Issue 4/2010
91
Analele Universităţii “Constantin Brâncuşi” din Târgu Jiu, Seria Ştiinţe Juridice, Nr. 4/2010
specifice, a drepturilor persoanelor fizice, a confidenţialităţii şi securităţii prelucrărilor. Astfel, publicitatea comportamentală on-line presupune indisolubil colectarea de adrese de IP şi folosirea modulelor cookie de urmărire, iar informaţiile obţinute se referă la preferinţele unei persoane, utilizate ulterior pentru a o influenţa. Modulele cookie de urmărire constituie principala tehnologie utilizată de furnizorii de reţele de publicitate pentru urmărirea navigării pe internet a utilizatorilor, fiind de fapt un text alfanumeric scurt stocat de furnizorul de reţea în echipamentul utilizatorului. Furnizorii de reţele de publicitate au calitatea de operatori de date cu caracter personal întrucât deţin controlul asupra mijloacelor de prelucrare şi stabilesc obiectivele, trimit şi citesc modulele de urmărire cookie, colectează adresa IP, oferă spaţiu pe site-urile de internet pentru postarea de reclame, creează profiluri ale comportamentului de navigare al utilizatorilor de internet, selectează şi se adresează utilizatorilor cu anumite reclame particularizate pe baza profilurilor conturate. În consecinţă, furnizorii de reţele de publicitate trebuie să-i furnizeze utilizatorului de internet informaţii clare şi complete cu privire la scopurile folosirii datelor, în concordanţă cu prevederile art. 10 din Directiva 95/46/EC, şi apoi trebuie să obţină acordul utilizatorului pentru stocarea sau accesarea informaţiilor de pe echipamentul terminal al acestuia. Astfel, se face o aplicare a respectării dreptului la informare al utilizatorilor, în sensul că aceştia trebuie informaţi clar şi complet asupra identităţii furnizorului de reţele de publicitate, asupra scopurilor prelucrării, destinatarilor şi cu privire la exercitarea celorlalte drepturi: de acces, intervenţie, opoziţie, dreptul de a se adresa justiţiei. În acest context, în considerentele 66 ale Directivei 2009/136/EC se stipulează: „Terţii ar putea dori să stocheze informaţii cu privire la echipamentul unui utilizator sau să obţină acces la informaţiile deja stocate dintr-un
processing - become applicable. Thus, online behavioural advertising entails implicitly the collection of IP addresses and the use of tracking cookie modules and the information obtained refer to a person’s preferences, used later to influence it. Tracking cookie modules constitute the main technology used by providers of advertising networks to follow the users’ internet browsing, and is in fact an alphanumeric short text stored by the network’s provider into the user’s equipment. Advertising networks’ providers are considered personal data controllers as they have control over the means of processing and establish its objectives, send and read tracking cookie modules, collect IP addresses, provide space on internet sites for advertisements, create behavioural profiles based on the browsing of the internet users, select and assign certain advertisements to users based on the profiles created. Therefore the providers of advertising network must provide internet users with clear and comprehensive information on the purposes for which the data are used, in accordance with the provisions of article 10 of Directive 95/46/EC and then they must obtain the user’s consent to store and access the information on the user’s terminal equipment. In this way, the user’s right of information is observed, in the sense that the users must be informed clearly and comprehensively on the identity of the advertising network provider, the processing’s purpose(s), the recipients of the data and with regard to the exercise of the other rights: of access, intervention, opposition and right to address a court of law. In this context, preamble 66 of Directive 2009/136/EC provides: “Third parties may wish to store information on the equipment of a user, or gain access to information already stored, for a number of purposes, ranging from the legitimate (such as certain types of cookies) to those involving unwarranted intrusion into the private sphere (such as spyware or viruses). It is therefore
Annals of the „Constantin Brâncuşi” University of Târgu Jiu, Juridical Sciences Series, Issue 4/2010
92
Analele Universităţii “Constantin Brâncuşi” din Târgu Jiu, Seria Ştiinţe Juridice, Nr. 4/2010
număr de motive, care pot varia de la motive legitime (de exemplu, anumite tipuri de cookies) la cele care privesc intruziunile nejustificate în sfera privată (de exemplu, programele spyware sau viruşii). Prin urmare, este de importanţă capitală ca utilizatorilor să li se furnizeze informaţii clare şi complete în momentul în care doresc să efectueze o activitate care poate rezulta într-o asemenea stocare sau accesare nedorită”. În acelaşi timp, furnizorilor de reţele de publicitate le revine obligaţia de a lua măsurile tehnice şi organizatorice necesare pentru asigurarea confidenţialităţii şi securităţii prelucrărilor de date personale, cu respectarea art. 17 din Directiva 95/46/EC. Un risc ridicat de încălcare a regulilor de protecţie a datelor personale apare în cazul în care sunt utilizate date sensibile pentru crearea profilului utilizatorilor de internet. În situaţia de excepţie, în care furnizorii de reţele de publicitate oferă şi folosesc date sensibile (cum ar fi date privind originea etnică sau rasială, privind convingerile religioase sau politice, apartenenţa sindicală, date privind viaţa sexuală sau starea de sănătate), trebuie respectate dispoziţiile exprese ale art. 8 din Directiva 95/46/EC. Un alt risc identificat este acela al asigurării unei protecţii adecvate a datelor personale ale copiilor, prin obţinerea consimţământului reprezentanţilor legali, înainte de colectarea şi utilizarea informaţiilor în vederea stabilirii unui profil comportamental al acestora. Până în prezent se înregistrează mari lacune, pe plan european, în respectarea exigenţelor de protecţie a datelor, de către furnizorii de reţele de publicitate, iar informările timid realizate prin secţiunile de termeni şi condiţii generale sau politici de confidenţialitate de pe site-uri nu se subsumează legislaţiei din domeniul protecţiei datelor personale. Un progres semnalat este acela al posibilităţii oferite utilizatorilor de anumiţi
of paramount importance that users be provided with clear and comprehensive information when engaging in any activity which could result in such storage or gaining of access.” At the same time, the providers of advertising networks are under the obligation to take the technical and organisational measures required in order to ensure the confidentiality and security of the processing of personal data, whist observing the provisions of article 17 of Directive 95/46/EC. A high risk of breaching the rules on personal data protection appears when sensitive data are used to create the profile of internet users. In the exceptional circumstances that the providers of advertising networks offer and use sensitive data (such as data on the ethnic or racial origin, on the religious or political beliefs, trade union membership, data on sex life or state of health), the express provisions of article 8 of Directive 95/46/EC must be observed. Another risk has been identified in relation to ensuring adequate protection for children’s personal data, by obtaining the consent of the legal representatives before the collection and use of the information in order to establish a behavioural profile. Up to this time great deficiencies are noticed, at European level, on observing the exigencies on data protection by advertising network’s providers and the shy information carried out within the sections on general terms and conditions or of confidentiality used on web sites are not in line with the legal framework applicable in the field of personal data protection. One step forward which has been noticed refers to the possibility offered to users of certain advertising networks to change the categories of interests in which they have been placed. Bibliography Directive 95/46/EC of the European Parliament and of the Council on the
Annals of the „Constantin Brâncuşi” University of Târgu Jiu, Juridical Sciences Series, Issue 4/2010
93
Analele Universităţii “Constantin Brâncuşi” din Târgu Jiu, Seria Ştiinţe Juridice, Nr. 4/2010
furnizori de reţele de publicitate de a-şi protection of individuals with regard to the accesa şi schimba categoriile de interese în processing of personal data and the free care au fost încadraţi. movement of such data Law No. 677/2001 on the protection of individuals with regard to the processing Bibliografie Directiva 95/46/EC a Parlamentului of personal data and the free movement of European şi a Consiliului privind protecţia such data Opinion 4/2007 on the concept of persoanelor fizice în ceea ce priveşte th prelucrarea datelor cu caracter personal şi personal data, adopted on the 20 of June 2007 by Article 29 Working Party for the libera circulaţie a acestor date Legea nr. 677/2001 pentru protecţia Protection of personal data, established by persoanelor fizice cu privire la prelucrarea Article 29 of Directive 95/46/EC Opinion 2/2010 on online datelor cu caracter personal şi libera behavioural advertising, adopted on the 22nd circulaţie a acestor date Avizul nr. 4/2007 privind conceptul of June by Article 29 Working Party for the de date personale, adoptat la 20 iunie 2007 Protection of personal data, established by de Grupul de Lucru Pentru Protecţia Datelor Article 29 of Directive 95/46/EC Personale instituit în temeiul Art. 29 din Directiva 95/46/EC Avizul nr. 2/2010 privind publicitatea comportamentală online, adoptat la 22 iunie 2010 de Grupul de Lucru Pentru Protecţia Datelor Personale instituit în temeiul Art. 29 din Directiva 95/46/EC
Annals of the „Constantin Brâncuşi” University of Târgu Jiu, Juridical Sciences Series, Issue 4/2010
94